ZOOMでオンラインカウンセリングをするときの注意点【セキュリティ対策】

こんにちは！
パーソナルスタイリスト・服装心理カウンセラーの久野梨沙(@RisaHisano）です。
ファッションで人の心を知り、動かす「服装心理学®」を活用した個人向けスタイリングやスタイリスト育成、講演活動などを行っています。

Twitterでは何度もUPしているこの画像。外出自粛下で一転、脚光を浴びるようになったオンライン会議システム「ZOOM」の配信時の画面です。

これはオンラインサロン「服装心理lab.」の運営MTGだったかな・・・？

 

私は、3年ほど前から、for*styleパーソナルスタイリストスクールでの遠隔参加者への講座配信用にZOOMを使っています。

緊急事態宣言以降は、スクールは全員がZOOM参加になり、お客様とのカウンセリングも、取引先との打合せもすべてZOOM。以前からその便利さは実感していたとはいえ、こんなに使うことになるとはさすがに思いもしていませんでした。

 

また、うちのスクールの卒業生は授業を通じてZOOMのシステムを学んでいたので、この状況下でもスムーズにオンラインサービスへと移行できているようです。

そういった点でも、早めに導入しておいて良かった･･･と思うことばかり。

 

さてそんな中で、卒業生専用チャットで、昨今のZOOMのセキュリティに関する報道を見て、このまま使い続けて良いのか･･･と心配する投稿がありました。

 

そこでその回答代わりに、他の皆さんにも参考になることがあるかもということで、私が個人的にやっている対策や、オンラインカウンセリングやコンサルを提供する際のツールとの向き合い方などをこの記事でお伝えしたいと思います。

 

※この記事に書いたことは執筆時点に公開されている情報に基づいたもので、また、あくまで私が個人的にやっている対策ですのでご了承下さいね〜

ZOOMのセキュリティに関して、まずは情報を集める

「セキュリティが不安」。

 

こういう声をお客様や生徒から聞くとき、「何が問題なのか、自分にどんな影響があるのかよくわからないけど不安」というケースが大半です。

 

では今回のZOOMの場合、パーソナルスタイリングサービスにおけるカウンセリングやセミナーで使った場合、我々にどんなリスクがありそうなのでしょうか？　そこを明らかにしないことには始まりません。

 

まずは情報収集です。ここで私が大事だと思っているのは、中立なソースから、なるべく多くの情報を得ること。

ZOOMからの公式発表は、当然ながら偏っている可能性がありますので確認はしますが鵜呑みにはしません。と同時に、ZOOMとライバル関係にあるであろう企業の発表も参考程度に。

 

例えば、「Googleが社員にZOOMの利用を禁止した」ってニュースありましたけど、むしろなぜ使ってた？って思った･･････Google ハングアウトの立場･･･

[blogcard url=”https://gigazine.net/news/20200409-google-bans-zoom/”]

なので、IT専門のニュースサイトとか、ネットセキュリティの企業や専門家のブログ、あとは公的機関の発表を取りあえず見てみました。

 

以下はとてもわかりやすくまとまっていて勉強になりました。

 

[blogcard url=”https://blog.trendmicro.co.jp/archives/24590″] [blogcard url=”https://tech-camp.in/note/technology/84112/#WebZoom”]

ZOOMのセキュリティの問題で、自分のビジネスに悪影響があるものはどれなのかを具体的に把握する

で、いろいろと見ていくと、例えば私たちが個人のお客様とのカウンセリングでZOOMを使うときに悪影響になりそうなのは以下の2点だということがわかります。

 

悪意の第三者が勝手に乱入してきて、変なファイルを送りつけられたりマイクを乗っ取ったりされる

これは「Zoom Bombing」と呼ばれている迷惑行為です。

 

[blogcard url=”https://jp.techcrunch.com/2020/03/18/2020-03-17-zoombombing/”]

 

これをやられると単純に、カウンセリングやセミナーがめちゃめちゃになります。結果的に、お客様からのホスト（ZOOM会議主催者）への信頼感も損なわれるでしょう。

 

しかし、これは「ZOOMのアカウントを持っていなくても簡単に参加できる」というZOOMの仕組みを悪用したものなので、ホスト側の設定次第で回避できるようです。

 

何らかの方法で情報を盗まれる

上記の「Zoom Bombing」でも、会議に勝手に参加されて内容を聞かれてしまうと言う意味では「情報を盗まれる」ことになりますが、それ以外の方法でも情報が漏洩してしまうことがあるようです。

 

悪意のあるユーザの用意したハイパーリンクをクリックすることで、認証情報を窃盗されたり任意の実行可能ファイルを起動されたりする可能性があります。

ーZoom の脆弱性対策について：IPA 独立行政法人 情報処理推進機構

上記は、Windows向けのZOOMアプリに見つかった脆弱性です。

 

また、iOSアプリでFacebookアカウントでのログインができるような仕組みを使ったことで、意図せずFacebookに情報を送信できるようになってしまっていたり、Mac用のZOOMアプリで、カメラやマイクを操作されてしまうような脆弱性も見つかったとのこと。

 

しかしこれらはいずれも既にZOOM側での対策が済んでおり、最新のバージョンにアップデートすることで解決できます。

 

これ以外に、ZOOMの創業者が中国系であることに絡んで、中国政府に情報が流れる危険性を懸念している人も多いようです。この危険性を考えると、確かに、中国以外の政府機関がZOOMの利用を禁止するのは理解できます。また、中国国内にライバル企業を持つ大企業も、ZOOMの利用には尻込みせざるを得ないでしょう。

ZOOM利用のリスクを踏まえて、利用するかどうかを判断する

以上のようなリスクをしっかり理解した上で、ZOOMを利用するメリットと天秤に掛けて、自分のサービスで利用するか判断しましょう。

 

例えば、「Zoom Bombing」の問題は、ホスト側の設定次第で回避できますからもはやそれほど危惧する必要はないのではないかと思います。

これだけZOOMが注目されてしまうと、次々に悪用する人が登場するのは仕方のないことで、また新たな「Zoom Bombing」の方法が出てくるかもしれません。しかしこういった可能性はZOOMに限らず他のアプリでもあるわけで。そもそもオンラインに繋いでしまう時点で、悪意の第三者に攻撃される危険性は0にはならないですからね･･････。

 

また、「情報が中国に流れているのでは？」という懸念についても、仮にそうだったとして、例えば私のようなパーソナルスタイリングサービスにおいては、正直、そこまでの対策をする必要はあるだろうか、と思います。

どこかの企業が禁止したからと言って、即「危ない！」と脊髄反射でし心配するのではなく、なぜその企業が禁止したのかをしっかり調べてから判断すべきではないか、と。

 

こういったリスクと、ZOOMの使い勝手の良さや通信の安定性といったメリットを天秤に掛けた結果、私個人としては、以下のような対策を施すことで引き続き利用していこうという結論に達しています。

今後もZOOMを利用するために私が採っているセキュリティ対策

 

ということで、現状私がZOOMを利用する上でとっている対策ですが･･･

有料プランを契約する

これは対策と言えるのかは疑問なんですが、個人的なポリシーとして、「使っているツールにはお金を払う」というのがありまして。

仮に無料で事足りる場合にも、ビジネス上そのツールが重要な役割を果たしているようであれば必ず有料プランを契約するようにしています。

 

セキュリティ対策にもお金がかかるわけですし、せめてもの足しになれば、という思いです。正直、無料版を使っている状態で何か起こっても文句は言えないよねとも思っている･･････。

 

また、これ以降挙げるセキュリティ対策の中には、有料プランでしか行えない設定もありますので、そういう意味でも有料プラン契約は大事！

 

常にZOOMアプリを最新版にしておく

見つかった脆弱性に対するZOOMの対策は比較的スピーディーな印象です。

ですからこちら側もしっかりアプリは最新版を入手しておきましょう。

 

ミーティングURLを不特定多数が見える場に公開しない

いくらZOOM側がアップデートで対策してくれても、悪意のある人をミーティングに参加させてしまったら嫌がらせを受けるリスクはぐっと上がってしまいます。

ZOOMを活用したセミナーを行うにしても、参加者だけにURLを教えたり、別途パスワードを設定するなどして対策しましょう。

 

ミーティング開催時に「待機室」を利用する

ZOOMでミーティングを設定するときに「待機室」というのを有効にしましょう。

「ミーティングをスケジュールする」の画面の「ミーティングオプション」の何に待機室を有効にするという項目がありますので、こちらにチェックを入れておきます（現状はおそらくデフォルトでチェックが入っていると思いますが）。

 

これにチェックを入れておくと、ミーティングを開始したときに参加者が即入室できないようになり、ホストの許可が必要になります。ここで、招待していない怪しげな参加者がいたら、入室を許可しなければ良いわけです。

 

参加者ができることを適宜制限する

 

また、もし多数が参加するようなミーティングの場合には、念のため参加者ができることを制限しておく、というのも一つの手です。

 

最近のアップデートで、ZOOMのホスト画面に「セキュリティ」というメニューが増えたのですが、ここをクリックすると

先ほど説明した「待機室」がここでも設定できるのがわかりますね。

それに加えて、参加者ができることを制限できる項目があります。この中で特に「画面を共有」は、不安であればチェックをはずしておく（できないようにしておく）のがお薦めです。

 

画面共有というのは、自分の見ているパソコンの画面を、他のZOOMミーティングの参加者にも見せることができる機能なんですが、前述した「Zoom Bombing」では、この機能で勝手に不要な画面を共有することで会議を荒らした事例があったんですね。

ですから、適宜、ここは制限した方が良いかと思います。

 

また、「ミーティングをロック」をクリックしておくと、それ以降、新しい人は参加できなくなりますので、こちらも適宜利用すると安心です。

 

個人情報など、大事な情報はZOOMミーティング上で取り上げない

どんなにホスト側が対策を尽くしても、前述した通り、情報漏洩するかも知れないというリスクを0にすることはできません。

 

ですから、「漏れたら絶対に困る情報は、ZOOMミーティング上で取り上げない」というのも大事なことです。

 

個人カウンセリングであれば、企業秘密などをZOOMで話すことはないでしょうから、基本的には「個人情報」に気をつければいいのではないかと思います。

ZOOMミーティング上でフルネームを呼ばないようにするとか、住所が書いてあるお申込書を画面に映すようなことをしないとか。

 

逆に、体型診断の結果とか、お薦めのファッションブランドとかを話すだけであれば、万が一それだけが漏洩しても個人を特定するのは不可能ですよね。

 

最後に、これらのことをできる限りお客様と共有して同意をいただいておくことも大切ですよね。

また、常に最新の情報を得られるようにしておくことも。

 

このあたりのさらに細かい実務面は、for*styleパーソナルスタイリストスクールの在校生・卒業生に、別途チャットにて共有しようかな。

スクールのアフターフォローとして、こういった時流に合わせたビジネスの展開方法や注意事項を伝えるのも大事だと思っています。卒業したら終わり、にはしたくないんですよね。皆で、着実に成功していきたいです。この難局、乗り切ろう！